Squadra Rossa vs. test del team blu nella sicurezza informatica

Il Red Teaming è più di un test di penetrazione

Mentre i test di penetrazione sono un aspetto cruciale dei test dell’infrastruttura di sicurezza e possono includere sia test manuali che test di penetrazione automatizzati continui, il red teaming va molto oltre. La squadra rossa simula le azioni degli attori delle minacce nella vita reale, quinditest di penetrazioneè solo l’inizio. A seconda dell’ambito concordato dell’esercizio, il team rosso potrebbe utilizzare qualsiasi tecnica disponibile per i veri aggressori per eseguire attacchi simulati, sfruttare le vulnerabilità della sicurezza e ottenere dati sensibili. Ciò significa non solo attacchi contro l’infrastruttura IT,sicurezza della retee la sicurezza delle applicazioni, ma tenta anche di aggirare la sicurezza fisica. Gli attacchi di un team rosso possono durare diverse settimane e includere tentativi di attacchi di ingegneria sociale come frode di identità o phishing, una delle principali cause di violazione dei dati nelle organizzazioni.

Assemblare la squadra rossa

L’approccio più semplice asquadra di reteè quello di designare un gruppo interno di professionisti della sicurezza come squadra rossa. Sebbene questa possa essere l’opzione più semplice se hai le giuste competenze interne, spesso puoi ottenere risultati migliori quando i membri del team rosso sono esperti esterni specializzati inhacking etico. Ciò fornisce la valutazione più accurata delle tue difese di sicurezza informatica, poiché il personale interno potrebbe trascurare alcuni vettori di attacco o (intenzionalmente o meno) saltare i test in aree che ritengono ben protette. I team di rete dedicati in genere includono hacker etici, tester di penetrazione, esperti di ingegneria sociale e altri professionisti della sicurezza con esperienza nell’elusione di varie misure di sicurezza.

Chi sono la squadra azzurra?

In un esercizio squadra rossa contro squadra blu, la squadra blu è i difensori. Se disponi di un centro operativo di sicurezza (SOC) dedicato, puoi utilizzare il tuo personale SOC come squadra blu. In caso contrario, i membri del team blu potrebbero essere semplicemente il team di sicurezza interna, sebbene i membri del team blu possano includere anche personale diverso dai professionisti della sicurezza. In senso più ampio,la sicurezza è affare di tutti, quindi i corsi di formazione per aumentare la consapevolezza della sicurezza sono un must in tutta l’organizzazione. Sebbene ciò sia particolarmente importante per il personale addetto alla sicurezza fisica, tutti i dipendenti devono sapere a cosa prestare attenzione e come segnalare errori insoliti, comportamenti sospetti o contatti fisici o elettronici imprevisti.

Cos’è una squadra viola?

L’esecuzione di una simulazione completa squadra rossa contro squadra blu con una squadra rossa dedicata e indipendente può essere costosa e dispendiosa in termini di tempo. In alcuni casi, le organizzazioni eseguiranno invece esercizi simili con una squadra viola, un’unità interna o esterna che fungerà da squadra sia rossa che blu. I suoi membri includeranno esperti di sicurezza con diversi set di abilità che possono passare dall’essere le squadre rossonere a quelle blu. Sebbene non sia efficace come la rete su vasta scala vs. esercizi blu, viola le operazioni del team possono essere utili per mantenere la sicurezza tra test più estesi o eseguire controlli a campione in grandi organizzazioni.

Prepararsi per l’attacco

In un attacco nella vita reale, nessuno ti avviserà in anticipo, quindi la preparazione del team blu riguarda meno il prepararsi all’impatto e più il sapere come utilizzare i controlli di sicurezza esistenti, i sistemi di rilevamento delle intrusioni (IDS) e di protezione dalle intrusioni (IPS) erisposta agli incidentiprocedure Anche la conoscenza dettagliata dell’infrastruttura fisica e virtuale dell’organizzazione è fondamentale.

Ad esempio, potresti già disporre di alcune soluzioni e procedure di sicurezza in atto e la preparazione potrebbe significare documentarle e integrarle utilizzando una soluzione di gestione delle informazioni e degli eventi di sicurezza (SIEM) per fornire informazioni sulle minacce in tempo reale. Per i siti Web e le applicazioni Web, il team blu potrebbe eseguire unscanner di vulnerabilità onlineper trovare e quindi rimediare ai punti deboli nei sistemi e nelle infrastrutture basati sul Web, comprese configurazioni errate e implementazioni di test dimenticate.

Per la squadra rossa, la preparazione è tutta una questione di ricognizione e ricerca. Se assumi consulenti di teaming di rete esterni, potrebbero monitorare e analizzare la tua organizzazione proprio come farebbero i veri aggressori. Ciò può includere la scansione delle vulnerabilità, la mappatura dell’infrastruttura virtuale e fisica, l’identificazione del software di sicurezza e dei sistemi di sicurezza fisica e la raccolta delle identità del personale e dei dettagli di contatto perattacchi di ingegneria sociale. Se è necessario l’accesso fisico, la squadra rossa potrebbe persino ricorrere a trucchi come la creazione di un’attività fittizia per fingere di essere un partner commerciale o un appaltatore.

Correre la squadra rossa vs. esercizio di squadra blu

A differenza di eventi una tantum come test di penetrazione, valutazioni del rischio o audit di sicurezza, una squadra blu vs. L’esercizio della squadra rossa mette alla prova la resilienza di un’organizzazione che svolge le sue attività quotidiane per un periodo più lungo. A seconda dell’ambito delle operazioni concordate, la squadra rossa può utilizzare questo tempo per tentare ogni tipo di intrusione a tutti i livelli dell’organizzazione. In termini di sicurezza informatica, ciò potrebbe comportare non solo attacchi diretti contro siti Web aziendali, applicazioni Web, infrastrutture di rete e sistemi interni, ma anche trucchi di ingegneria sociale ed e-mail di phishing per ottenere credenziali di accesso o installare malware. La sicurezza fisica può anche essere testata tentando di ottenere l’accesso fisico al sito del cliente e agli endpoint utilizzando ID dipendenti falsi o clonati o semplicemente fingendosi un addetto alle consegne, addetto alle pulizie o costruttore.

La squadra azzurra in difesa deve rimanere vigile e organizzata per rilevare e prevenire tentativi di infiltrazione. Per garantire che l’esercizio fornisca risultati attuabili, gli attacchi rilevati, le vulnerabilità di sicurezza sfruttate e le risposte del team blu dovrebbero essere registrati attentamente per l’analisi post mortem e la riparazione.

I vantaggi della squadra rossa vs. prove a squadre azzurre

Simulando scenari di attacco nella vita reale, gli esercizi del team rosso contro il team blu forniscono informazioni preziose sulle condizioni dell’infrastruttura di sicurezza dell’organizzazione. Combinati con altri programmi di sicurezza in corso, come audit di sicurezza, controlli di sicurezza fisica e scansione continua delle vulnerabilità delle applicazioni Web, possono essere un modo efficace per eliminare i punti deboli e mantenere una solida posizione di sicurezza in un ambiente di minacce in continua evoluzione.

Di Zbigniew Banach

Leave a Comment

Your email address will not be published. Required fields are marked *